homerdau
Goto Top

VPN mit Zyxel USG 20 - klappt nicht.

Hallo,

knobele an einem Problem herum... und bin festgefahren. Kann mir jemand helfen?

Ausgangslage:
- Zywall USG 20 mit drei verschiedenen VPN Protokollen ausgestattet: IPSec, SSL und L2TP
- W7 notebook

Ich möchten einen VPN zu dieser Firewall aufbauen, und zwar OHNE den (nicht gerade günstigen) ZYxel VPN IPSec Client)

verschiedene freeware Varianten ausprobiert:
- softether VPN und openvpn > beide nicht zum Laufen bekommen. NAchfrage bei Zyxel: USG funktioniert nicht mit open clients.. face-sad wenn nur L2TP... aha
- L2TP auf dem Notebook eingerichtet.. kein durchkommen
- dann den Zyxel client gesucht..aber der ist nicht W7 kompatibel. (Nachtrag: Laut Zyxel doch, aber immer noch nicht billig)

x verschiedene Seiten abgesucht, was man genau einstellen muss... hier zum Beispiel.. https://community.spiceworks.com/how_to/76543-vpn-setup-with-zyxel-usg-d ...
aber alles ohne Erfolg.. face-sad face-sad

den internen Wizard von USG 20 bemüht.. auch kein Ergebnis...

Der Client gibt kleider keine präzise Fehlermeldung aus, nach der ich suchen könnte, und im Log der FW steht nur deny.. irgendwei interferiert das ADP... aber selbst wenn ich das deaktiviere.. komme ich nicht an..

Es muss doch möglich sein, einen VPN auf eine FW aufzubauen.....??????? Wonach / Wo muss ich suchen....

ZUsätzlicher Issue.. der DynDNS eintrag wird nicht aufgelöst.. name.myftp.org via Noip.com wird nicht aufgelöst. FW sagt DDNS ok. Noip sagt ok.. aber wenn ich es remote eingebe.. bekomme ich nichts.. Nur wenn ich die direkte IP angebe...?????

Was mache ich falsch?

Danke im Voraus für alle die veruchen zu helfen.

Content-ID: 294249

Url: https://administrator.de/forum/vpn-mit-zyxel-usg-20-klappt-nicht-294249.html

Ausgedruckt am: 23.12.2024 um 08:12 Uhr

HomerDAU
HomerDAU 26.01.2016 um 15:06:41 Uhr
Goto Top
Nachtrag: Sinn ist, via VPN auf ein NAS zuzugreifen, das hinter der FW steht.
Nachtrag 2: Im LOgfile FW habe ich auch noch was mit "IKE" .. immer da, wo client und FW miteinander quatschen....???
geocast
geocast 26.01.2016 um 15:09:51 Uhr
Goto Top
Kostenloser Client: Shrew Soft VPN Client
Funktioniert hier einwandfrei. Hier noch eine Anleitung

How To

Wichtig ist, wirklich nach der Anleitung vorzugehen besonders wegen der Verschlüsselung.
Ein Fehler ist drin. In Phase zwei musst du die Zeit auf 28800 höchstens stellen, da der Client nicht mehr zulässt.
aqui
aqui 26.01.2016 um 15:39:18 Uhr
Goto Top
und zwar OHNE den (nicht gerade günstigen) ZYxel VPN IPSec Client)
Deshalb gibts ja für Kenner der Szene den kostenlosen Klassiker Shrew :
https://www.shrew.net
der mit allen IPsec Implementationen rennt.
Grundlagen zu IPsec siehe hier:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Der Client gibt kleider keine präzise Fehlermeldung aus,
Was für einen Client nutzt du denn ???
Wichtig: WAS gibt deinen Zyxel als Log aus (Syslog Message) ?? Das ist eh umso wichtiger, weil die hier sofort die Fehler sehen kannst !
Leider fehlt auch das obwohl die Zyxel ganz sicher ein Log hat ! face-sad
Es muss doch möglich sein, einen VPN auf eine FW aufzubauen...
Das ist es auch. Normal eine Sache von 5 Minuten !
Befindet sich noch ein kaskadierter Router VOR der Zyxel Firewall ?? Oder ist die direkt am DSL dran ? Grund der Frage: Ggf. ein NAT Gateway vor der Firewall die VPN Traffic dann logischerweise blockt !
Wo muss ich suchen....
Zuallererst nach dem Zyxel Log und hier posten !
ZUsätzlicher Issue.. der DynDNS eintrag wird nicht aufgelöst..
OK das ist wieder dein Fehler in der Konfig.
Ist aber im ersten Step fürs VPN nicht wichtig, denn du kannst mit der nackten IP erstmal arbeiten. Erster Schritt sollte sein das VPN zum Fliegen zu bringen. Die kosmetischen Spielchen mit DynDNS kannst du später machen.
Was mache ich falsch?
Vermutlich ziemlich viel. Aber das versuchen wir ja zu fixen.... Es fängt damit an das wir zuerst 3 Dinge wissen müssen:
  • Welches VPN Protokoll ?
  • kaskadierter NAT Router vor der FW ?
  • Syslog Auszug der Zyxel Firewall !
HomerDAU
HomerDAU 26.01.2016 um 16:54:19 Uhr
Goto Top
Hi, erst mal vielen Dank für die Rückmeldungen... versuche gerade Shrew zu laden und konfiguerieren..

zu der Frage mit dem Protokoll:
ich habe L2TP probiert von Windows aus.. aber noch nicht gesehen was shrew benutzt..?

zu Frage Router:
ist ein cablecom modem im bridge modus.. sollte laut cablecom alles durchlassen..?

Syslog kommt, sobald ich das Ding mal habe laufen lassen....
HomerDAU
HomerDAU 26.01.2016 aktualisiert um 17:23:31 Uhr
Goto Top
Nachtrag:
hab ein W10 NOtebook in das Wlan vom nachbarn gehängt. und L2TP probiert. anbei der Scrrenshot vom Log der FW parallel zu dem Versuch...

ähmm. wie bekomme ich ein Foto hier hochgeladen? .. hochladen.. kein Button. Paste funktioniert auch nicht.. Ein kopieren der Datensätze aus dem Log will auch nciht klappen.. grmpf..

so mit Geduld... Hinweis: erst als ich ADP abgeschaltet habe... ging das hier los... der Client meldet Tunnelfehler...
426 2016-01-26 17:04:37
info adp ADP
ADP rule 5 has been modified.
427 2016-01-26 17:04:51 10.161.0.1:67 192.168.1.1:68
notice firewall ACCESS BLOCK
Match default rule, DROP [count=2]
428 2016-01-26 17:04:53 10.59.1.36:137 10.59.1.255:137
notice firewall ACCESS BLOCK
Match default rule, DROP [count=6]
429 2016-01-26 17:04:57 192.168.1.1:500 178.38.72.167:500
info ike IKE_LOG
The cookie pair is : 0xe106d4f8a282beba / 0xd2f45595b9aa133a [count=2]
430 2016-01-26 17:04:57 192.168.1.1:500 178.38.72.167:500
info ike IKE_LOG
[ID] : Tunnel [Dynamic_Client] Local IP mismatch [count=3]
431 2016-01-26 17:04:57 192.168.1.1:500 178.38.72.167:500
info ike IKE_LOG
[SA] : No proposal chosen [count=3]
432 2016-01-26 17:04:57 178.38.72.167:500 192.168.1.1:500
info ike IKE_LOG
The cookie pair is : 0xe106d4f8a282beba / 0x0000000000000000
433 2016-01-26 17:04:57 178.38.72.167:500 192.168.1.1:500
info ike IKE_LOG
Recv Main Mode request from [178.38.72.167]
434 2016-01-26 17:04:57 178.38.72.167:500 192.168.1.1:500
info ike IKE_LOG
The cookie pair is : 0xdd1c42c7e0e88801 / 0xe106d4f8a282beba
435 2016-01-26 17:04:57 178.38.72.167:500 192.168.1.1:500
info ike IKE_LOG
Major version numbers are different
436 2016-01-26 17:04:57 192.168.1.1:500 178.38.72.167:500
info ike IKE_LOG
The cookie pair is : 0xe106d4f8a282beba / 0xdd1c42c7e0e88801
437 2016-01-26 17:04:57 192.168.1.1:500 178.38.72.167:500
info ike IKE_LOG
Send:[NOTIFY:INVALID_MAJOR_VERSION]
438 2016-01-26 17:04:57 178.38.72.167:500 192.168.1.1:500
notice firewall ACCESS FORWARD
priority:2, from ANY to ZyWALL, UDP, service IPSEC_VPN, ACCEPT
439 2016-01-26 17:04:58 192.168.1.1:500 178.38.72.167:500
info ike IKE_LOG
The cookie pair is : 0xe106d4f8a282beba / 0xf28fb976015fc6ac [count=2]
440 2016-01-26 17:04:59 192.168.1.1:500 178.38.72.167:500
info ike IKE_LOG
The cookie pair is : 0xe106d4f8a282beba / 0x706570f933e3e95c [count=2]
441 2016-01-26 17:05:02 178.38.72.167:50936 192.168.1.1:1723
notice firewall ACCESS BLOCK
Match default rule, DROP [count=3]
442 2016-01-26 17:05:20
info dhcp DHCP ACK
Sending ACK to 192.168.1.33
443 2016-01-26 17:05:23 178.38.72.167:1701 192.168.1.1:1701
notice firewall ACCESS FORWARD
priority:2, from ANY to ZyWALL, UDP, service IPSEC_VPN, ACCEPT
HomerDAU
HomerDAU 26.01.2016 um 17:32:06 Uhr
Goto Top
Hi, wollte gemäss ANleitung die FW einrichten.. aber...bekomme einen Error....

Beim Herumprobieren habe ich 5 GWs angelegt. ein weiterer geht nicht mehr. also einen löschen... aber dann bekomme ich diesen Fehler hier:

CLI Number: 0
Error Number: -15008
Error Message: 'Isakmp policy entity is in use.'

Wie bekomme ich das nun wieder gefixt.. ?
transocean
transocean 26.01.2016 um 17:44:14 Uhr
Goto Top
Moin,

resette die USG 20 und fange noch einmal ganz von vorne an.
Passende Konfigurationsanleitungen findest Du hier: https://www.studerus.ch/de/support/kb/

Gruß

Uwe
HomerDAU
HomerDAU 26.01.2016 um 17:47:58 Uhr
Goto Top
oh nee.. ich bekomme das nicht mehr zusammen, was da alles schon konfiguriert wurde..... ich bin da nicht der Crack... dann sitze ich noch mal 2 Wochen um die FW neu zu konfigurieren...
es muss doch einen eleganten Weg geben?
transocean
transocean 26.01.2016 um 17:54:19 Uhr
Goto Top
Mir scheint, Du hast die Kiste völlig verbastelt. Eine L2TP Verbindung mit dem hauseigenen Windows Client hat man nach Anleitung oder mit dem internen Konfigurationstool der USG eigentlich innerhalb von zehn Minuten am Laufen.
HomerDAU
HomerDAU 26.01.2016 um 17:56:54 Uhr
Goto Top
tja, das dachte ich auch, aber keiner kann mir sagen, was falsch ist.. Das ich keine Ahnung von FW habe wusste ich auch schon vorher. face-smile
michi1983
michi1983 26.01.2016 um 18:56:53 Uhr
Goto Top
Zitat von @HomerDAU:

tja, das dachte ich auch, aber keiner kann mir sagen, was falsch ist.. Das ich keine Ahnung von FW habe wusste ich auch schon vorher. face-smile
Wenn du aber selbst nicht mal weißt was du tust, woher sollen wir dir sagen können was du falsch gemacht hast?

Ich würde dir auch empfehlen das Ding zu resetten und von vorne zu beginnen. Da ist der Lerneffekt dann auch gleich dabei.

Und wenn du wirklich 2 Wochen dafür benötigen solltest, dann wende dich an jemanden der sich auskennt damit face-wink
aqui
aqui 26.01.2016 aktualisiert um 20:09:28 Uhr
Goto Top
Oder nimm ne pfSense FW oder nen Cisco 880 mit Firewall da hast das hier frei funktionsfähig zum Abtippen... face-wink
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV

Zu deinen Fragen:
ich habe L2TP probiert von Windows aus.. aber noch nicht gesehen was shrew benutzt..?
Shrew ist ein nativer IPsec Client. Kein L2TP ! L2TP nutzt nur IPsec ESP für die Tunnel Encryption.
ACHTUNG: L2TP und native IPsec sind NICHT kompatibel ! Du kannst nur das eine oder das andere machen.
ist ein cablecom modem im bridge modus.. sollte laut cablecom alles durchlassen..?
Ja, sollte so sein. Aber wie immer... Vertrauen ist gut, Kontrolle ist besser.
Checke die WAN IP die du am Zyxel am WAN / Internet Port bekommst vom Provider im Setup (Status etc.) !!
Das muss eine öffentliche IP sein und keine private RFC 1918 IP aus dem 10er, 172er oder 192.168er Bereich.
Hinweis: erst als ich ADP abgeschaltet habe...
Was zur Hölle soll ADP sein ?? Allgemeiner Deutscher Pinscherclub ??
Tunnel [Dynamic_Client] Local IP mismatch [count=3]
Oha...erster Konfig Fehler. In deiner Phase 1 hast du ein falsches lokales LAN kofigiriert. Vermutlich der klasssiche Anfängerfehler das du hier kein Netzwerk (alle Hostbits auf 0) sondern eine Host IP angegeben hast...kann das sein ?
Recv Main Mode request from [178.38.72.167]
Aha...der Client ist Kunde von Sunrise Communications in CH face-wink
Zweiter Konfig Fehler... Immer den Agressive Mode und niemals den Mainmode verwenden bei IPsec !

Das beides reicht schon um die VPN Connection zu killen. Bitte filter das nächste mal nach nur VPN Syslogs, denn die Firewall Standard messages nerven und stören hier nur dazwischen.
Beseitige deine Konfig Fehler auf der Zyxel Gurke dann wird das klappen.
transocean
transocean 26.01.2016 aktualisiert um 20:33:19 Uhr
Goto Top
Moin,

Das ich keine Ahnung von FW habe wusste ich auch schon vorher.

Ich will hier den Hals so weit aufreissen. Bin selbst auch kein professioneller IT'ler und schon deswegen für jeden Ratschlag dankbar.
Würde ich aber in meinem Hauptjob mit der Einstellung Keine Ahnung=Keine Angst ans Werk gehen, gäbe es mit Sicherheit Verletzte und Schäden an teuren Produktionsanlagen in nicht unerheblichem Ausmaß. Das aber nur nebenbei.
Lösch mal alle angelegten VPN Gateways wieder und lass dann den KonfigAssi für das Einrichten von L2TP over IPSec laufen. Erst wenn der fehlerfrei durchgelaufen ist, machst Du mit dem nächsten Schritt weiter.

Gruß

Uwe

Edit: Hier noch die Anleitung von Studerus zum Einrichten von L2TP over IPSec ab der Firmware Version 4.10. https://www.studerus.ch/de/support/download/59459_1
HomerDAU
HomerDAU 27.01.2016 aktualisiert um 16:30:52 Uhr
Goto Top
Ich konnte das Problem beheben mit einem HInweis von Zyxel. Wenn man Object Reference drückt, sieht man, was auf dieses Element zugreift.. war dann eine Kaskade von Objekten... aber gelöst. face-smile zumindest der Error in der FW
HomerDAU
HomerDAU 27.01.2016 aktualisiert um 17:04:26 Uhr
Goto Top
ich biin dann prompt an dem HowTo schon wieder hängen geblieben. Schon auf der ersten Seite geht es um eine Interface ge3_ppp , dass es bei mir nicht gibt.. aber keine Details, wie die Settings dazu sein sollen... grmpf ich habe mal wan eingetragen....?

Dann in Phase 2 gibt es unterhalb von Settings auf dem Scrrenshot nix mehr.. aber bei mir kommt noch ein Feld mit èberschrift Related settings und verlangt eine Zone... es gibt nur dne Hinweis, wenn man die falsche auswähle würde es u.U. zu Block führen.. Welche muss ich da eintragen? ANy idea? Hab mal die interne Zone eingetragen..???

Hat wieder nicht funktioniert. face-sadHier der FW log

493 2016-01-27 16:56:44 178.38.72.167:500 192.168.1.1:500
info ike IKE_LOG
The cookie pair is : 0x2458eae6ff7be733 / 0x0000000000000000
494 2016-01-27 16:56:44 178.38.72.167:500 192.168.1.1:500
info ike IKE_LOG
Recv Main Mode request from [178.38.72.167]
495 2016-01-27 16:56:44 178.38.72.167:500 192.168.1.1:500
info ike IKE_LOG
The cookie pair is : 0x7ed122147e617ad9 / 0x2458eae6ff7be733 [count=2]
496 2016-01-27 16:56:44 178.38.72.167:500 192.168.1.1:500
info ike IKE_LOG
Recv:[SA][VID][VID][VID][VID][VID][VID][VID][VID][VID][VID][VID][VID]
497 2016-01-27 16:56:44 192.168.1.1:500 178.38.72.167:500
info ike IKE_LOG
The cookie pair is : 0x2458eae6ff7be733 / 0x7ed122147e617ad9 [count=4]
498 2016-01-27 16:56:44 192.168.1.1:500 178.38.72.167:500
info ike IKE_LOG
[ID] : Tunnel [Dynamic_VPN] Local IP mismatch
499 2016-01-27 16:56:44 192.168.1.1:500 178.38.72.167:500
info ike IKE_LOG
[SA] : No proposal chosen
500 2016-01-27 16:56:44 192.168.1.1:500 178.38.72.167:500
info ike IKE_LOG
Send:[SA]
501 2016-01-27 16:56:44 178.38.72.167:500 192.168.1.1:500
info ike IKE_LOG
Recv:[KE][NONCE]
502 2016-01-27 16:56:44 192.168.1.1:500 178.38.72.167:500
info ike IKE_LOG
Send:[NOTIFY:AUTHENTICATION_FAILED]

Match default rule, DROP [count=2]
506 2016-01-27 16:57:44 192.168.1.1:500 178.38.72.167:500
info ike IKE_LOG
The cookie pair is : 0x2458eae6ff7be733 / 0x7ed122147e617ad9
507 2016-01-27 16:57:44 192.168.1.1:500 178.38.72.167:500
info ike IKE_LOG
ISAKMP SA is disconnected
HomerDAU
HomerDAU 27.01.2016 aktualisiert um 17:24:41 Uhr
Goto Top
Ich hab inzwischen von main auf aggressive umgestellt wie von aqui vorgeschlagen. Aber leider immer noch ein Local IP Mismatch.. weiss nicht, wo ich was eintragen muss.. die Werte füllen sich automatisch wenn ich bestimmte Werte, die zur Auswahl stehen anklicke... hmmm

Wenn ich den LOg richtig lese, fliege ich derzeit immer bei diesen Einstellungen raus:
unter vpn connection
- local policy - auswahl feld
- remote policy - auswahl Feld
- sa life time - numerischer Wert (ist identisch bei FW und CLient)
- zone - auswahl Feld

any idea? Client sagt negotiatoin timeout...
aqui
aqui 27.01.2016 um 19:07:01 Uhr
Goto Top
Aber leider immer noch ein Local IP Mismatch.. weiss nicht, wo ich was eintragen muss..
Irgendwo in deinem IPsec Setup musst du das lokale IP Netz angeben ! Da hast du irgendwas falsches oder gar nix eingetragen.
Hier siehst du das mal auf einer pfSense / Monowall Konfig:

53a986794a4178ad9c65f626a533fcfd-vpn1

Man beachte dort den Eintrag local und remote Net !!!
Das muss bei dir irgendwo auch so sein...
HomerDAU
HomerDAU 28.01.2016 aktualisiert um 12:35:12 Uhr
Goto Top
egal was ich mache.. klappt nicht.
Wie kann ich hier screen Shots einfügen...? Weiss nicht, wie man sonst die Einstellungen überprüfen kann....???

GIbt es eigentlich irgendeinen Grund, warum man das ganze so kompliziert machen muss..?
Auf Seite FW muss ich unter vpn Gateway 3x IP adressen angeben und bei vpn connection noch 3 mal..
bei shrew client noch 4x... die Wahrscheinlichkeit, dass man dabei Fehler macht ist - wie sich zeigt - einfach sehr hoch. Das heisst es gibt 36 Kombinationen, die evtl. nicht miteinander passen. Oder seh ich das falsch? Abgesehen davon, dass ich das für leider nicht anwenderfreundlich halte, würde ich wahnsinig gerne Screenshots hier rein packen.. aber WIE GEHT DAS???

Dann halt von hand.... face-sad

VPN gateway
my adress > Interface: ausgewählt: Wan1_ppp entspricht 0.0.0.0.0.0.0.0
peer gateway adress: dynamic
authentication > local ID Type : ausgewählt IP und 192.168.1.0
peer ID type: ausgewählt: any

Vpn connection
ruft vpn gateway auf .. wan1_ppp 0.0.0.0.0.0.0.0.
policy > local policy: ausgewählt: Lan1_subnet löst sich auf in 192.168.1.0/24
related settings > Zone: ausgewählt: Lan1 entspricht 192.168.1.1

Auf seiten Shrew Client:
tab general: host name: xxx.myftp.org
authentication > localid: IP adress und tick bei use a discovered local host adress
authentication >remote id: fully qualified domain name und xxx.myftp.org
Tab policy: require... 192.168.1.0/255.255.255.0

Wo habe ich den Knopf...?????????

NAchtrag:
die phase 1 und Phase 2 settiings sind ansonsten auf FW und Client absolut identisch.. 3x geprüft... trotzdem komtm diese SA denial..
????
michi1983
michi1983 28.01.2016 um 12:39:33 Uhr
Goto Top
Sorry, aber bei deinen Fähigkeiten was das Lesen anbelangt glaube ich dir gerne, dass du das als Anwender unfreundlich ansiehst.
Formatierungen in den Beiträgen

Kauf dir eine Fritzbox, da kannst du schön mit Bildchen und GUI dein VPN einrichten.
HomerDAU
HomerDAU 28.01.2016 um 12:59:47 Uhr
Goto Top
Vielen Dank für den liebenswerten Hinweis auf meine Lesefähigkeit. ABer in meinem Browser (Firefox - neueste Version) gib es leider diesen Balken mit verschiedenen Tabs nicht. Ich sehe das nicht. Ich würde ja gerne ein Screenshot dazu posten, aber eben... Ich probiere mal gerne IE aus. Finde Deinen Ton (michi1983) aber eher unangebracht. Ich bin vielleicht technisch nicht sehr versiert, aber kein Trottel.
michi1983
michi1983 28.01.2016 um 13:12:52 Uhr
Goto Top
Ich habe in keinem Wort gesagt das du ein Trottel bist aber die FAQs lesen darf ich dir schon zumuten oder? So wie jedem anderen auch der dieses Forum betritt.

Ich sehe die Tabs übrigens in jedem aktuellen Browser.
Eventuell hast du irgendwelche AddOns aktiv die da dazwischen funken.
HomerDAU
HomerDAU 04.02.2016 um 17:31:28 Uhr
Goto Top
Hallo,

hat jemand eine Lösung zu dem Problem Local IP Mismatch? Danke im voraus.

VPN gateway
my adress > Interface: ausgewählt: Wan1_ppp entspricht 0.0.0.0.0.0.0.0
peer gateway adress: dynamic
authentication > local ID Type : ausgewählt IP und 192.168.1.0
peer ID type: ausgewählt: any

Vpn connection
ruft vpn gateway auf .. wan1_ppp 0.0.0.0.0.0.0.0.
policy > local policy: ausgewählt: Lan1_subnet löst sich auf in 192.168.1.0/24
related settings > Zone: ausgewählt: Lan1 entspricht 192.168.1.1

Auf seiten Shrew Client:
tab general: host name: xxx.myftp.org
authentication > localid: IP adress und tick bei use a discovered local host adress
authentication >remote id: fully qualified domain name und xxx.myftp.org
Tab policy: require... 192.168.1.0/255.255.255.0

Wo habe ich den Knopf...?????????

NAchtrag:
die phase 1 und Phase 2 settiings sind ansonsten auf FW und Client absolut identisch.. 3x geprüft... trotzdem komtm diese SA denial..
????
sk
sk 04.02.2016 um 22:10:17 Uhr
Goto Top
Ich erbarme mich mal, obwohl ich innerlich den Versuch jetzt schon bereue...


Zitat von @HomerDAU:
Zone: ausgewählt: Lan1

Funktioniert. Besser wäre aber die Zone "IPSec-VPN".


Zitat von @HomerDAU:
my adress > Interface: ausgewählt: Wan1_ppp entspricht 0.0.0.0.0.0.0.0

Da Du hinter einem Kabelmodem sitzt, dürfte hier WAN1 nicht WAN1_ppp das richtige Interface sein.


Zitat von @HomerDAU:
authentication > local ID Type : ausgewählt IP und 192.168.1.0
...
Auf seiten Shrew Client:
authentication >remote id: fully qualified domain name und xxx.myftp.org

Sieht ein Blinder, dass das nicht zusammenpasst. Nimm auch auf Zywall-Seite den DNS-Eintrag.


Vermutlich sind das aber nicht die einzigen Fehler...


Gruß
sk